Etiqueta: seguridad de la información Página 1 de 2

JUL 09, 2025RAVIE LAKSHMANANDYBER AMENAZA / MALware El corredor de acceso inicial (IAB) conocido como melodía de oro se ha atribuido a una campaña que explota las claves de la máquina ASP.NET para obtener el acceso no autorizado a las organizaciones y pedir que el acceso a otros actores de amenazas. La actividad está siendo rastreada por la Unidad de Palo Alto Networks 42 bajo el apodo TGR-CRI-0045, donde «TGR» significa «Grupo temporal» y «CRI» se refiere a la motivación criminal. El grupo de piratería también se conoce como Profet Spider y UNC961, con una de sus herramientas también utilizadas por un corredor de acceso inicial llamado Tymaker. «El grupo parece seguir un enfoque oportunista, pero ha atacado a las organizaciones en Europa y los Estados Unidos en las siguientes industrias: servicios financieros, fabricación, mayorista y minorista, alta tecnología y transporte y logística», dijeron los investigadores Tom Marsden y Chica García. El abuso de las claves de la máquina ASP.NET en la naturaleza fue documentado por primera vez por Microsoft en febrero de 2025, y la compañía señaló que había identificado más de 3.000 de tales claves divulgadas públicamente que podrían ser armadas para ataques de inyección de código ViewState, lo que ha llevado a la ejecución de código arbitraria. El primer signo de estos ataques fue detectado por el fabricante de Windows en diciembre de 2024, cuando un adversario desconocido aprovechó una clave de máquina ASP.NET estática disponible públicamente para inyectar código malicioso y entregar el marco de Godzilla después de la explotación. El análisis de la Unidad 42 muestra que el TGR-CRI-0045 está siguiendo un modus operandi similar, empleando las claves filtradas para firmar cargas útiles maliciosas que proporcionan acceso no autorizado a los servidores específicos, una técnica conocida como ASP.NET ViewState Deserialización. «Esta técnica permitió que la IAB ejecute cargas útiles maliciosas directamente en la memoria del servidor, minimizando su presencia en disco y dejando pocos artefactos forenses, haciendo que la detección sea más desafiante», dijo la compañía de seguridad cibernética, y agregó evidencia de explotación de la explotación más temprana en octubre de 2024. Los incrementos tradicionales de la red del sistema de shell tradicional o el sistema de archivo basado en el archivo de los archivos de los archivos. Las organizaciones que dependen únicamente del monitoreo de la integridad de archivos o las firmas de antivirus pueden perder por completo la intrusión, lo que hace que sea crítico implementar detecciones de comportamiento basadas en patrones de solicitud de IIS anómalo, procesos infantiles generados por W3WP.EXE o cambios repentinos en el comportamiento de la aplicación .NET. Se dice que se detectó un aumento significativo en la actividad entre finales de enero y marzo de 2025, durante el cual los ataques condujeron a la implementación de herramientas posteriores a la explotación, como escáneres de puertos de código abierto y programas de C# a medida como UPDF para la escalada de privilegios locales. En al menos dos incidentes observados por la Unidad 42, los ataques se caracterizan por la ejecución del shell de comandos que se originan en servidores web de Servicios de Información de Internet (IIS). Otro aspecto notable es el uso probable de un generador de carga útil .NET de código abierto llamado ysoserial.net y el complemento ViewState para construir las cargas útiles. Estas cargas útiles omiten las protecciones de ViewState y activan la ejecución de un ensamblaje de .NET en la memoria. Five different IIS modules have been identified as loaded into memory so far – Cmd /c, which is used to passing a command to be executed to the system’s command shell and execute arbitrary instructions on the server File upload, which allows for uploading files to the server by specifying a target file path and a byte buffer containing the file’s contents Winner, which is likely a check for successful exploitation File download (not recovered), which appears to be a downloader that allows an atacante para recuperar datos confidenciales del cargador reflectante del servidor comprometido (no recuperado), que aparentemente actúa como un cargador reflexivo para cargar dinámicamente y ejecutar ensamblajes de .NET adicionales en la memoria sin dejar un rastro «entre octubre de 2024 y enero de 2025, la actividad de la amenaza del actor de la amenaza se centra principalmente en sistemas explotadores, desplegando modules, como el comprobador de explosión de exposición, y realiza el rendimiento básico del shell, la unidad de reconfanación de un shell. «La actividad posterior a la explotación ha involucrado principalmente el reconocimiento del huésped comprometido y la red circundante». Algunas de las otras herramientas descargadas en los sistemas incluyen un binario ELF nombrado ATM de un servidor externo («195.123.240[.]233: 443 «) y un escáner de puerto de Golang llamado TXPortMap para mapear la red interna e identificar posibles objetivos de explotación.» TGR-CRI-0045 utiliza un enfoque simplista para ver la explotación del Estado, cargando un único ensamblaje de apácrono directamente «, los investigadores observaron». Cada ejecución de comando «requiere una re-explotación de re-explotación y la reubicación del ensamblaje (EG, por ejemplo, el ensamblaje de los archivos múltiples,» los investigadores «.» Cada ejecución de comandos «requiere la ejecución de comandos», requerir la re-explotación y volver a completar el ensamblaje (EG, el ensamblaje de los archivos múltiples, «los investigadores». ASP.NET Ver vulnerabilidades de deserialización del estado a través de claves de la máquina expuesta permite una presencia mínima en disco y permite un acceso a largo plazo. La orientación oportunista y el desarrollo continuo de la herramienta del grupo destacan la necesidad de que las organizaciones prioricen la identificación y remediar las claves de la máquina comprometidas. «Esta campaña también destaca una categoría más amplia de las amenazas de exposición de la clave criptográfica, incluidas las políticas de generación de máquinas débiles, los riesgos de la generación de máquinas débiles, la validación de MAC faltante y los incumplimientos de inseguridad en el punto de medición más antiguo. Las organizaciones crean estrategias de protección de identidad y APPSEC más resistentes.

En otra instancia de los actores de amenaza que reutilizan las herramientas legítimas para fines maliciosos, se ha descubierto que los piratas informáticos están explotando una popular herramienta de equipo rojo llamada Shellter para distribuir el malware del Stealer. La compañía detrás del software dijo que una compañía que había comprado recientemente las licencias de Shellter Elite filtró su copia, lo que llevó a los actores maliciosos a armarse la herramienta para las campañas de InfoTealer. Desde entonces, se ha lanzado una actualización para conectar el problema. «A pesar de nuestro riguroso proceso de investigación, que ha impedido con éxito tales incidentes desde el lanzamiento de Shellter Pro Plus en febrero de 2023, ahora nos encontramos abordando esta desafortunada situación», dijo el equipo del Proyecto Shellter en un comunicado. La respuesta se produce poco después de que elastic Security Labs publicara un informe sobre cómo el marco de evasión comercial está siendo abusado en la naturaleza desde abril de 2025 para propagar Lumma Stealer, Rhadamanthys Stealer y Sectoprat (también conocido como ArechClient2). Shellter es una herramienta potente que permite a los equipos de seguridad ofensivos omitir el software antivirus y detección y respuesta de punto final (EDR) instalado en puntos finales. Elastic dijo que identificó múltiples campañas de Infente de Infente de Motivado Financieramente que usa Shellter para empaquetar las cargas útiles a fines de abril de 2025, con la actividad aprovechando a Shellter Elite versión 11.0 lanzado el 16 de abril de 2025. «Las muestras protegidas de Shellter comúnmente emplean Shellcode auto modificador con la obfuscación polimórfica a sí mismos dentro de los programas legítimos», dijo la compañía. «Esta combinación de instrucciones legítimas y código polimórfico ayuda a estos archivos a evadir la detección y las firmas estáticas, lo que les permite permanecer sin ser detectados». Se cree que algunas de las campañas, incluidas las que entregan sectoprat y robador de Rhadamanthys, adoptaron la herramienta después de que la versión 11 saliera a la venta en un popular foro de delitos cibernéticos a mediados de mayo, utilizando señuelos relacionados con oportunidades de patrocinio dirigidas a creadores de contenido, así como a través de videos de YouTube que reclaman a ofrecer modificaciones gaming como Fortnite trampa. Se dice que las cadenas de ataque de Lumma Staaler que aprovechan a Shellter, por otro lado, se diseminó a través de cargas útiles alojadas en Mediafire a fines de abril de 2025. Con versiones agrietadas de Cobalt Strike y Brute Ratel C4 anteriormente encontrando su camino hacia las manos de los ciberdriminales y los actores de estado nacional, no sería una sorpresa una sorpresa si Shellter siga un seguimiento similar. «A pesar de los mejores esfuerzos de la comunidad comercial de OST para retener sus herramientas para fines legítimos, los métodos de mitigación son imperfectos», dijo Elastic. «Aunque el proyecto Shellter es una víctima en este caso a través de la pérdida de propiedad intelectual y el tiempo de desarrollo futuro, otros participantes en el espacio de seguridad ahora deben lidiar con amenazas reales que manejan herramientas más capaces». Sin embargo, el proyecto Shellter criticó a Elastic por «priorizar la publicidad sobre la seguridad pública» y por actuar de una manera que dijo que era «imprudente y poco profesional» al no notificarles rápidamente. En una declaración compartida con The Hacker News, Elastic Security Labs dijo que se dio cuenta de la actividad potencialmente sospechosa el 18 de junio de 2025 y que está comprometido con «transparencia, investigación responsable y apertura». Toda la declaración de la compañía está a continuación: nuestra publicación de investigación, que describe varias amenazas motivadas financieramente y el marco comercial de evasión AV/EDR (Shellter), se realizó en línea con nuestro compromiso con la transparencia, la divulgación responsable y una mentalidad de defensor primero. El equipo de Elastic Security Labs se dio cuenta de la actividad potencialmente sospechosa el 18 de junio de 2025, y rápidamente comenzó a investigar los comportamientos que identificamos como actividades maliciosas previamente no detectadas utilizando información y telemetría públicamente disponibles voluntariamente por nuestros usuarios. Después de nuestra investigación inicial y después de un análisis riguroso, determinamos que la herramienta pública disponible, Shellter, se estaba utilizando para fines de evasión. Nuestros hallazgos fueron publicados dentro de las dos semanas de esta determinación. Publicamos nuestros hallazgos directa y transparentemente para informar a los defensores lo más rápido posible, al igual que el estándar de la industria y parte del trabajo para nuestros clientes y usuarios. Nuestra prioridad es informar a la comunidad de seguridad de manera rápida y precisa sobre nuestra investigación. Creemos que el interés público se sirve mejor revelando la investigación lo más rápido posible, una vez que se ha concluido un análisis exhaustivo, para ayudar a los defensores a responder a las amenazas emergentes, incluidas las técnicas utilizadas para evitar los controles de seguridad. Elastic Security Labs está compuesto por investigadores de malware, científicos de datos, ingenieros de seguridad ofensivos y analistas de inteligencia que han descubierto docenas de amenazas novedosas y Tradecraft adversario. Nuestro trabajo ayuda constantemente a las organizaciones a mantenerse a la vanguardia de las amenazas emergentes, y seguimos comprometidos con operar con profesionalismo, integridad y una mentalidad de defensor primero. (La historia se actualizó después de la publicación para incluir una respuesta de Elastic Security Labs.) ¿Encontró este artículo interesante? Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Desde roles de administración demasiado privilegiados hasta tokens de proveedores olvidados desde hace mucho tiempo, estos atacantes se están deslizando a través de las grietas de la confianza y el acceso. Así es como se desarrollaron cinco infracciones minoristas, y lo que revelan … En los últimos meses, los principales minoristas como Adidas, The North Face, Dior, Victoria’s Secret, Cartier, Marks & Spencer y Co -Op han sido violados. Estos ataques no fueron malware sofisticado o exploits de día cero. Estaban impulsados ​​por la identidad, explotando el acceso demasiado privilegiado y las cuentas de servicio no supervisadas, y utilizaron la capa humana a través de tácticas como la ingeniería social. Los atacantes no necesitaban entrar. Se iniciaron sesión. Se movieron a través de aplicaciones SaaS inadvertidas, a menudo usando credenciales reales y sesiones legítimas. Y aunque la mayoría de los minoristas no compartían todos los detalles técnicos, los patrones son claros y recurrentes. Aquí hay un desglose de las cinco infracciones recientes de alto perfil en el comercio minorista: 1. Adidas: Explotación de confianza de terceros Adidas confirmó una violación de datos causada por un ataque a un proveedor de servicio al cliente de un tercero. La compañía dijo que los datos del cliente estaban expuestos, incluidos nombres, direcciones de correo electrónico y detalles del pedido. Sin malware. No hay violación de su lado. Solo el radio de explosión de un proveedor en el que confiaban. Cómo se desarrollan estos ataques en las identidades de SaaS: los tokens SaaS y las cuentas de servicio otorgadas a los proveedores a menudo no requieren MFA, no caducan y vuelan bajo el radar. Una vez que el acceso ya no es necesario pero nunca se revoca, se convierten en puntos de entrada silenciosos, perfectos para los compromisos de la cadena de suministro que asignan tácticas como T1195.002, dando a los atacantes una forma sin activar las alarmas. Takeaway de seguridad: no solo estás asegurando a tus usuarios. Estás asegurando el acceso que los proveedores también dejan atrás. Las integraciones de SaaS se quedan más tiempo que los contratos reales, y los atacantes saben exactamente dónde mirar. 2. La cara norte: desde la reutilización de la contraseña hasta el abuso de privilegios, el North Face confirmó un ataque de relleno de credencial (MITER T1110.004) donde los actores de amenaza usaban credenciales filtradas (nombres de usuario y contraseñas) para acceder a las cuentas de los clientes. Sin malware, sin phishing, solo higiene de identidad débil y sin MFA. Una vez dentro, exfiltraron los datos personales, exponiendo una brecha importante en los controles de identidad básicos. Cómo se desarrollan estos ataques en las identidades de SaaS: los inicios de sesión de SaaS sin MFA todavía están en todas partes. Una vez que los atacantes obtienen credenciales válidas, pueden acceder a cuentas directa y en silencio, sin necesidad de activar protecciones de punto final ni alertas de elevación. Takeaway de seguridad: el relleno de credenciales no es nada nuevo. Fue la cuarta violación basada en credenciales para North Face desde 2020. Cada uno es un recordatorio de que la reutilización de contraseña sin MFA es una puerta abierta. Y aunque muchas organizaciones aplican MFA para empleados, cuentas de servicio y roles privilegiados, muchas veces no se protegen. Los atacantes lo saben, y van donde están los huecos. ¿Quieres profundizar? Descargue la ‘Guía de seguridad de identidad SaaS’ para aprender a asegurar de manera proactiva cada identidad, humana o no humana, en su pila SaaS. 3. M & S & Co-OP: Según los informes, el incumplido de los minoristas de Ladered Trust UK Marks & Spencer y Co-op fueron atacados por el grupo de amenazas dispersado, conocido por los ataques basados ​​en la identidad. Según los informes, utilizaron el intercambio de SIM y la ingeniería social para hacerse pasar por los empleados y engañar a los escritorios para restablecer las contraseñas y el MFA, sin pasar por alto el MFA, todo sin malware o phishing. Cómo se desarrollan estos ataques en las identidades de SaaS: una vez que los atacantes evitan el MFA, se dirigen a roles SaaS sobrevivilegiados o cuentas de servicio latentes para moverse lateralmente dentro de los sistemas de la organización, cosechar datos confidenciales o interrumpir operaciones en el camino. Sus acciones se combinan con el comportamiento legítimo del usuario (T1078), y con los reinicios de contraseña impulsados ​​por la suplantación de la mesa de ayuda (T1556.003), en silencio obtienen persistencia y control sin generar ninguna alarma. Takeaway de seguridad: hay una razón por la cual se están extendiendo los ataques de identidad primero. Explotan lo que ya tiene confianza, y a menudo no dejan una huella de malware. Para reducir el riesgo, rastrear el comportamiento de identidad SaaS, incluida la actividad humana y no humana, y limite los privilegios de la mesa de ayuda a través de políticas de aislamiento y escalada. La capacitación específica para el personal de apoyo también puede bloquear la ingeniería social antes de que suceda. 4. Victoria’s Secret: cuando los administradores de SaaS se vuelven sin control, Victoria’s Secret retrasó su liberación de ganancias después de que un incidente cibernético interrumpió tanto el comercio electrónico como los sistemas en la tienda. Si bien se revelaron pocos detalles, el impacto se alinea con los escenarios que involucran una interrupción interna a través de sistemas SaaS que administran las operaciones minoristas, como el inventario, el procesamiento de pedidos o las herramientas de análisis. Cómo se desarrollan estos ataques en las identidades de SaaS: el riesgo real no solo se comprometió a las credenciales comprometidas. Es el poder no controlado de los roles SaaS sobreprivilizados. Cuando un administrador mal configurado o un token obsoleto es secuestrado (T1078.004), los atacantes no necesitan malware. Pueden interrumpir las operaciones centrales, desde la gestión de inventario hasta el procesamiento de pedidos, todo dentro de la capa SaaS. Sin puntos finales. Solo destrucción (T1485) a escala. Takeaway de seguridad: los roles SaaS son poderosos y a menudo olvidados. Una sola identidad sobrevivilizada con acceso a aplicaciones comerciales críticas puede desencadenar el caos, por lo que es crucial aplicar controles de acceso estrictos y monitoreo continuo a estas identidades de alto impacto antes de que sea demasiado tarde. 5. Cartier & Dior: El costo oculto de la atención al cliente Cartier y Dior revelaron que los atacantes accedieron a la información del cliente a través de plataformas de terceros utilizadas para CRM o funciones de servicio al cliente. Estos no eran hacks de infraestructura; Eran violaciones a través de plataformas destinadas a ayudar a los clientes, no exponerlos. Cómo se desarrollan estos ataques en las identidades de SaaS: las plataformas de atención al cliente a menudo se basan en SaaS, con tokens persistentes y claves API que las conectan silenciosamente a los sistemas internos. Estas identidades no humanas (T1550.003) rara vez giran, a menudo escapan de IAM centralizado y se convierten en victorias fáciles para los atacantes que se dirigen a los datos de los clientes a escala. Takeaway de seguridad: si sus plataformas SaaS tocan los datos del cliente, son parte de su superficie de ataque. Y si no está rastreando cómo las identidades de la máquina acceden a ellas, no está protegiendo las líneas delanteras. Pensamiento final: sus identidades SaaS no son invisibles. No están supervisados. Sus identidades SaaS no son invisibles; No están supervisados. Estas violaciones no necesitaban exploits elegantes. Solo necesitaban una confianza fuera de lugar, una credencial reutilizada, una integración sin control o una cuenta que nadie revisó. Si bien los equipos de seguridad han bloqueado los puntos finales y los inicios de sesión de SaaS endurecidos, las brechas reales se encuentran en esos roles SaaS ocultos, tokens latentes y pasadas por alto anuladas. Si estos todavía están volando debajo del radar, la violación ya tiene una ventaja. Wing Security fue construido para esto. La plataforma de múltiples capas de Wing protege continuamente su pila SaaS, descubriendo puntos ciegos, endureciendo las configuraciones y detectando amenazas de identidad SaaS antes de que se intensifiquen. Es una fuente de verdad que conecta los puntos a través de aplicaciones, identidades y riesgos, por lo que puede atravesar el ruido y detener las violaciones antes de que comiencen. 👉 Obtenga una demostración de seguridad del ala para ver lo que se esconde en su capa de identidad SaaS. ¿Encontró este artículo interesante? Este artículo es una pieza contribuida de uno de nuestros valiosos socios. Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Los investigadores de seguridad cibernética han revelado una campaña maliciosa que aprovecha las técnicas de envenenamiento de la optimización del motor de búsqueda (SEO) para entregar un cargador de malware conocido llamado Oyster (también conocido como Broomstick o CleanuplOADER). La actividad malvertida, según el lobo ártico, promueve sitios web falsos que alojan versiones troyanizadas de herramientas legítimas como masilla y winscp, con el objetivo de engañar a los profesionales de software que buscan estos programas para instalarlos en su lugar. «Tras la ejecución, se instala una puerta trasera conocida como Oyster/Broomstick», dijo la compañía en un breve publicado la semana pasada. «La persistencia se establece mediante la creación de una tarea programada que se ejecuta cada tres minutos, ejecutando una DLL maliciosa (TWAIN_96.DLL) a través de RunDll32.exe utilizando la exportación DllRregisterServer, lo que indica el uso del registro de DLL como parte del mecanismo de persistencia». Los nombres de algunos de los sitios web falsos se enumeran a continuación: UpdaterPutty[.]com zephyrhype[.]com[.]CORRE PUTTY[.]BET, y PUTTYY[.]org Se sospecha que los actores de amenaza detrás de la campaña también pueden estar apuntando a otras herramientas de TI para entregar el malware, lo que hace que sea imperativo que los usuarios se adhieran a fuentes confiables y sitios de proveedores oficiales para descargar el software necesario. La divulgación se produce cuando las técnicas de envenenamiento de SEO de sombrero negro se están utilizando para los resultados de búsqueda de juegos asociados con las palabras clave relacionadas con la inteligencia artificial (IA) para difundir Vidar, Lumma y Legion Loader. Estos sitios web vienen equipados con un código JavaScript que verifica la presencia de bloqueadores de anuncios y reúne información del navegador de la víctima, antes de iniciar una cadena de redirección que finalmente lleva a la víctima a una página de phishing que aloja un archivo zip. «Las páginas de descarga finales en esta campaña entregan Vidar Stealer y Lumma Stealer como archivos ZIP protegidos con contraseña, con la contraseña proporcionada en la página de descarga final», dijo Zscaler Denacera. «Una vez extraídos, contienen un instalador NSIS de 800 MB, un tamaño engañosamente grande destinado a parecer legítimo y los sistemas de detección de derivación con limitaciones del tamaño del archivo». El instalador NSIS se utiliza para ejecutar un script Autoit que finalmente es responsable de iniciar las cargas útiles de Stealer. El mecanismo de entrega para Legion Loader, en contraste, aprovecha un instalador MSI para implementar el malware a través de un script por lotes. Se ha observado que una campaña de envenenamiento de SEO similar eleva las páginas de phishing cuando los usuarios buscan los nombres de las aplicaciones web populares para dirigir a los usuarios a falsificar páginas de control de Cloudflare Captcha que utilizan la infame estrategia de ClickFix para soltar Redline Stealer a través del cargador de secuestro. Según los datos compilados por Kaspersky, las empresas pequeñas y medianas (PYME) están siendo atacadas cada vez más por ataques cibernéticos que ofrecen malware disfrazado de AI y herramientas de colaboración populares como OpenAI Chatgpt, Deepseek, Cisco AnyConnect, Google Drive, Microsoft Office, Microsoft Teams, Salesforce y Zoom. «Entre en enero y abril de 2025 solo, alrededor de 8.500 usuarios comerciales pequeños y medianos fueron atacados por ataques cibernéticos en los que el malware o el software potencialmente no deseado estaban disfrazados de estas herramientas populares», dijo la compañía de seguridad cibernética rusa. Zoom representó aproximadamente el 41%del número total de archivos únicos, seguido de Outlook y PowerPoint al 16%cada uno, sobresaliendo al 12%, palabra al 9%y equipos al 5%. The number of unique malicious files mimicking ChatGPT increased by 115% to 177 in the first four months of 2025. While the trend of abusing fake search engine listings to take advantage of users’ implicit in popular brands is a well-known tactic, recent campaigns have hijacked searches for tech support pages linked to Apple, Bank of America, Facebook, HP, Microsoft, Netflix, and PayPal to serve legitimate pages through sponsored results en Google, pero con un toque ingenioso. «Los visitantes son llevados a la sección de Ayuda/Soporte del sitio web de la marca, pero en lugar del número de teléfono genuino, los secuestradores muestran su número de estafa», dijo Malwarebytes. Esto se logra mediante una técnica llamada inyección de parámetros de búsqueda para mostrar dentro de una barra de búsqueda, un número que está bajo el control del atacante para dar la impresión de que es un resultado oficial de búsqueda dentro de las páginas del centro de ayuda y engaña a los usuarios desprevenidos para que los llamen. Lo que hace que el ataque sea particularmente insidioso es que los parámetros agregados a la derecha del dominio del centro de ayuda real (por ejemplo, «llámenos 1-***-***-**** gratis») no son visibles en el resultado de la búsqueda patrocinada, por lo que no dan ninguna razón para que los usuarios sospechen que cualquier cosa está mal. No es solo la plataforma publicitaria de Google. Los actores de amenaza también han sido atrapados sirviendo anuncios falsos en Facebook para Phish para las frases de recuperación de la billetera de criptomonedas y difundiendo malware junto con PI2day, un evento anual vinculado a la comunidad de la red PI. El malware, difundido a través de anuncios que instan a los usuarios a instalar una nueva versión de la aplicación PI Network Desktop para Windows, viene con capacidades para robar credenciales guardadas y claves de billetera criptográfica, registrar la entrada del usuario y descargar cargas útiles adicionales, todo lo que evade la detección. La compañía de ciberseguridad rumana Bitdefender dijo que la actividad es posiblemente el trabajo de un actor de amenaza única que «ejecuta esquemas de fraude paralelo en Meta para maximizar el alcance, la ganancia financiera y la eficiencia de la orientación». No termina aquí, para los sitios web falsos que se hacen pasar por IA, servicios de VPN y otras marcas de software conocidas que entregan Poseidon Stealer en los sistemas MacOS y un cargador denominado cargador de día de pago, que luego actúa como un conducto para el robador de lumma en las máquinas de Windows. La actividad ha sido nombrada en código Dark Partners por el investigador de seguridad G0NJXA. El cargador de día de pago se basa en los enlaces del calendario de Google como un resolución de caída muerta para extraer el servidor de comando y control (C2) y obtener un código JavaScript ofuscado diseñado para cargar la carga útil de Lumma y los datos sensibles al sifón. Curiosamente, la dirección de correo electrónico utilizada para crear los eventos del calendario de Google («Echeverridelfin@gmail[.]com «) también se vio en relación con un paquete NPM malicioso llamado» OS-Info-Checker-ES6. «Esto indica que los actores de los socios oscuros probablemente hayan experimentado con diferentes mecanismos de entrega». El cargador de pago tiene un módulo de staaler nodo.js para exfiltrar las criptomonedas de la billetera de la billetera de payas a un c2 «, dijo el g0njxa». Usando la biblioteca de payas de pay. El cargador puede encontrar, empacar y enviar información de billetera a un host C2 codificado. «Estas campañas van de la mano con un fenómeno continuo en el que los estafadores y los ciberdelincuentes establecen redes de extensiones que comprenden miles de sitios web para falsificar marcas populares y cometen fraude financieros al anunciar los productos reales que nunca se entregan. Uno de dichos redes de dichas redes de tales redes, builicias de Facebook, builicias de Facebook. Los sitios incompletos. Productos similares en diferentes páginas «, dijeron los investigadores de empuje de Silent. Otra red vistas por la compañía, dirigida a compradores de inglés y español con anuncios de mercado falsos, se evalúa como trabajo de los actores de amenaza china. Estos sitios web están diseñados principalmente para robar información de tarjetas de crédito ingresadas en páginas de pago, mientras que reclaman los pedidos. Algunos de los sitios de los sitios de Google también incluyen los widgets de compra de Google a los beneficios de compra de Google a los pagos de compra de Google a los que se realizan las páginas de los mercados falsos». La amenaza de phishing que explota las principales marcas, las organizaciones conocidas y la fama de algunas figuras políticas «, dijo Silent Push.

JUL 04, 2025 The Hacker Newsai Security / Enterprise Security Generation AI está cambiando la forma en que las empresas funcionan, aprenden e innovan. Pero debajo de la superficie, algo peligroso está sucediendo. Los agentes de IA y los flujos de trabajo de Genai personalizados están creando nuevas formas ocultas para que los datos empresariales confidenciales se filtren, y la mayoría de los equipos ni siquiera se dan cuenta. Si está construyendo, implementando o administrando sistemas de IA, ahora es el momento de preguntar: ¿sus agentes de IA exponen datos confidenciales sin su conocimiento? La mayoría de los modelos de Genai no filtran datos intencionalmente. Pero aquí está el problema: estos agentes a menudo están conectados a los sistemas corporativos, lo que sale de SharePoint, Google Drive, cubos S3 y herramientas internas para dar respuestas inteligentes. Y ahí es donde comienzan los riesgos. Sin controles de acceso ajustados, políticas de gobierno y supervisión, una IA bien intencionada puede exponer accidentalmente información confidencial a los usuarios equivocados, o peor, a Internet. Imagine un chatbot que revela datos salariales internos. O un asistente de surgir diseños de productos inéditos durante una consulta casual. Esto no es hipotético. Ya está sucediendo. Aprenda a mantenerse a la vanguardia: antes de que ocurra una violación, únase al seminario web gratuito en vivo «asegurando a los agentes de IA y evitando la exposición de datos en los flujos de trabajo de Genai», organizado por los expertos en seguridad de IA de Sentra. Esta sesión explorará cómo los agentes de IA y los flujos de trabajo de Genai pueden filtrar los datos confidenciales involuntarios, y lo que puede hacer para detenerlo antes de que ocurra una violación. Esto no es solo la teoría. Esta sesión se sumerge en configuraciones erróneas de IA del mundo real y lo que los causó, desde los permisos excesivos hasta la confianza ciega en los resultados de LLM. Aprenderá: los puntos más comunes en los que las aplicaciones de Genai filtran accidentalmente datos empresariales qué atacantes están explotando en entornos conectados a la IA ¿Cómo apretar el acceso sin bloquear los marcos probados de innovación para asegurar a los agentes de IA antes de que las cosas salgan mal? Esta sesión está construida para personas que hacen que la IA se realice: los equipos de seguridad que protegen a los ingenieros de la empresa DATADEVOPS que implementan líderes de Genai AppSit responsables del acceso y la integración y la gobernanza de datos Pros que conforman las políticas de IA y los propietarios de productos de IA equilibran la velocidad con seguridad si está trabajando en cualquier lugar cerca de IA, esta conversación es esencial. Genai es increíble. Pero también es impredecible. Y los mismos sistemas que ayudan a los empleados a moverse más rápido pueden mover accidentalmente los datos confidenciales a las manos equivocadas. Mire este seminario web Este seminario web le brinda las herramientas para avanzar con confianza, no miedo. Hagamos que sus agentes de IA sean poderosos y seguros. Guarde su lugar ahora y aprenda lo que se necesita para proteger sus datos en la era de Genai. ¿Encontró este artículo interesante? Este artículo es una pieza contribuida de uno de nuestros valiosos socios. Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Los actores de amenaza están armando interfaces de protocolo de cable de depuración Java expuesto (JDWP) para obtener capacidades de ejecución de código e implementar mineros de criptomonedas en hosts comprometidos. «El atacante utilizó una versión modificada de XMRIG con una configuración codificada», lo que les permite evitar argumentos sospechosos de línea de comandos que a menudo son marcados por los defensores «, dijeron los investigadores de Wiz Yaara Shriki y Gili Tikochinski en un informe publicado esta semana». La carga de pago utilizada minera de la agrupación de los pisos para ocultar su dirección de Wallingrence Walling, allí, evitando a los inversionistas de los inversionistas de los inversionistas. Firma, que está siendo adquirido por Google Cloud, dijo que la actividad contra sus servidores Honeypot que ejecuta TeamCity, una popular integración continua y una herramienta de entrega continua (CI/CD) es un protocolo de comunicación utilizado en Java para la depuración de JAVA, o no con la misma computadora. La autenticación o los mecanismos de control de acceso, exponiendo el servicio a Internet, puede abrir un nuevo vector de ataque que los atacantes pueden abusar como un punto de entrada, habilitando el control total sobre el proceso de Java en ejecución, la configuración errónea puede ser utilizada para inyectar y ejecutar comandos arbitrarios para configurar la persistencia. Utilizado en entornos de desarrollo y depuración «, dijo Wiz.» Muchas aplicaciones populares inician automáticamente un servidor JDWP cuando se ejecutan en modo de depuración, a menudo sin hacer que los riesgos sean obvios para el desarrollador. Si se asegura de manera incorrecta o expuesta, esto puede abrir la puerta a las vulnerabilidades de ejecución de código remoto (RCE). «Algunas de las aplicaciones que pueden iniciar un servidor JDWP cuando en el modo de depuración incluyen TeamCity, Jenkins, Selenium Grid, Elasticsearch, Quarkus, Boot y Apache TomCat. Los datos de Greynois muestran más de 2,600 Direcciones de escaneo de JDWP de Springpputs, las últimas 24 horas de escaneo JDWP de las 24 horas de escaneo JDWP, las últimas 24 horas, las siguientes 24 horas, las siguientes 24 horas, las 24 horas, las 24 horas, las 24 horas, las 24 horas, las 24 horas, los datos de las 24 horas, las 24 horas, las 24 horas, los datos de las 24 horas de escaneo JDWP de las 24 horas, los datos de las 24 horas de escaneo de las 24 horas de escaneo JDWP de las 24 horas de escaneo JDWP de las medidas. De los cuales más de 1,500 direcciones IP son maliciosas y las 1,100 direcciones IP se clasifican como sospechosas. En Internet. servidor externo («asqueroso[.]mundo «) en» ~/.config/logrotate «establecer persistencia estableciendo trabajos cron para garantizar que la carga útil se vuelva a buscar y se vuelva a ejecutarse después de cada inicio de sesión de shell, reiniciar o un intervalo de tiempo programado que se elimina a sí mismo en la salida», de origen abierto, XMRIG ofrece los atacantes la personalización fácil de la personalización fácil, que en este caso involucra todo el comando de la línea de los comandos y la configuración de la configuración de la configuración de la lógica hard. «Este ajuste no solo simplifica la implementación, sino que también permite que la carga útil imite el proceso de logrotado original de manera más convincente». HPing3, una utilidad disponible libremente para la elaboración y el envío de paquetes ICMP/TCP/UDP personalizados. Turquía es el principal objetivo. propagado por un módulo independiente que lleva a cabo ataques de pulverización de contraseña para obtener acceso inicial a los sistemas.[.]18 «) que, a su vez, se emplea para descargar un script de shell. El script se utiliza para detectar la arquitectura de la CPU del host infectado, terminar una versión ya en ejecución del troyano y recuperar la carga útil principal que es responsable de iniciar ataques de inundación DDoS sobre TCP y UDP. HPingBot también está diseñado para establecer la persistencia y cubrir las transacciones de la infección por la infección por el historial de comando. Los nodos controlados por HPingBot para entregar otro componente DDOS basado en GO hasta el 19 de junio que, mientras confían en el mismo Sever de comando y control (C2), evita que PasteBin y Hping3 llamen a las funciones de inundación incorporadas basadas en los protocolos de UDP y TCP que vale la pena mencionar el hecho de que la versión de Windows no puede usar HPing3 para lanzar los ataques DDOS debido a la de hecho. «APT -Y Install», la capacidad del malware para soltar y ejecutar cargas útiles adicionales sugerencias ante la posibilidad de que los actores de amenaza pretendan ir más allá de la interrupción del servicio para convertirlo en una red de distribución de carga útil «. Vale la pena señalar que la versión de Windows de HPPBOT no puede llamar directamente a HPPing3 a los ataques DDOS, sino que su actividad es tan frecuente. función de descargar y ejecutar cargas útiles arbitrarias «. Encontrado este artículo interesante? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Jul 05, 2025Ravie Lakshshmanannacional Seguridad / Privacidad La Oficina de Seguridad Nacional de Taiwán (NSB) advirtió que las aplicaciones desarrolladas por China como Rednote (también conocido como Xiaohongshu), Weibo, Tiktok, Wechat y Baidu Cloud representan riesgos de seguridad debido a la recopilación de datos excesivos y la transferencia de datos a China a China. La alerta se produce después de una inspección de estas aplicaciones llevadas a cabo en coordinación con la Oficina de Investigación del Ministerio de Justicia (MJIB) y la Oficina de Investigación Criminal (CIB) bajo la Agencia Nacional de Policía. «Los resultados indican la existencia de problemas de seguridad, incluida la recopilación de datos excesiva e infracción de privacidad», dijo el NSB. «Se aconseja al público que tenga precaución al elegir aplicaciones móviles». La agencia dijo que evaluó las aplicaciones contra 15 indicadores que abarcan cinco categorías amplias: recopilación de datos personales, uso de permiso excesivo, transmisión y intercambio de datos, extracción de información del sistema y acceso a datos biométricos. Según el análisis, Rednote violó los 15 indicadores, seguidos de Weibo y Tiktok que se encontró que violaron 13 indicadores. WeChat y Baidu Cloud violaron 10 y 9 de los 15 indicadores, respectivamente. Estos problemas abarcaron una amplia recopilación de datos personales, incluida la información de reconocimiento facial, capturas de pantalla, contenido del portapapeles, listas de contactos e información de ubicación. Todas las aplicaciones también se han marcado para cosechar la lista de aplicaciones instaladas y parámetros del dispositivo. «Con respecto a la transmisión y el intercambio de datos, se descubrió que dichas cinco aplicaciones devuelven los paquetes a los servidores ubicados en China», dijo el NSB. «Este tipo de transmisión ha expresado serias preocupaciones sobre el posible mal uso de los datos personales por parte de terceros». NSB también señaló que las empresas que operan en China están obligadas a entregar los datos del usuario bajo las leyes nacionales para la seguridad nacional, la seguridad pública y la inteligencia, y que el uso de estas aplicaciones puede violar la privacidad de los usuarios taiwaneses. El desarrollo se produce cuando países como India han promulgado prohibiciones contra aplicaciones hechas por chino, citando preocupaciones de seguridad. En noviembre de 2024, Canadá ordenó a Tiktok que disuelva sus operaciones en el país, aunque su destino en los Estados Unidos aún permanece en el limbo, ya que la prohibición, que se suponía que entraría en vigencia en enero de 2025, se ha extendido por tercera vez. La semana pasada, una de las autoridades de protección de datos de Alemania instó a Apple y Google a eliminar el chatbot de inteligencia artificial china (IA) de su breve de sus respectivas tiendas de aplicaciones debido a las transferencias ilegales de datos de los usuarios a China. También han sido impuestas restricciones similares por otras naciones. «El NSB aconseja al público que permanezca atento a la seguridad del dispositivo móvil y evite descargar aplicaciones hechas por China que representan riesgos de ciberseguridad, a fin de proteger la privacidad de los datos personales y los secretos comerciales corporativos», agregó. ¿Encontró este artículo interesante? Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Jul 04, 2025Ravie Lakshmananzero-Day / Cyber ​​Espionage Investigadores de seguridad cibernética han arrojado luz sobre un actor de amenaza previamente indocumentado llamado Nighteagle (también conocido como APT-Q-95) que se ha observado dirigido a los servidores de intercambio de Microsoft como una parte de una cadena de exploy cero diseñada para el gobierno objetivo, la defensa y los sectores tecnológicos en China. Según el equipo RedDrip de Qianxin, el actor de amenaza ha estado activo desde 2023 y ha cambiado de infraestructura de red a un ritmo extremadamente rápido. Los hallazgos se presentaron en Cydes 2025, la tercera edición de la Exposición y Conferencia de Seguridad Cibernética Nacional de Malasia celebrada entre el 1 y el 3 de julio de 2025. «Parece tener la velocidad de un águila y ha estado operando por la noche en China», dijo el Vendor de seguridad cibernética, explicando la ración detrás de la noche adversaria. Los ataques montados por el actor de amenaza han señalado entidades que operan en los semiconductores de alta tecnología, la tecnología cuántica, la inteligencia artificial y las verticales militares con el objetivo principal de recopilar inteligencia, agregó Qianxin. La compañía también señaló que comenzó una investigación después de descubrir una versión a medida de la utilidad de cincel basada en GO en uno de los puntos finales de sus clientes que se configuró para comenzar automáticamente cada cuatro horas como parte de una tarea programada. «El atacante modificó el código fuente de la herramienta de penetración de intranet de cincel de código abierto, codificados por los parámetros de ejecución, utilizó el nombre de usuario y la contraseña especificados, estableció una conexión de calcetines con el final 443 Fin de la dirección C&C especificada y lo asignó al puerto especificado del host C&C para lograr la función de penetración Intranet», dijo en un informe en un informe. Se dice que el troyano se entrega mediante un cargador .NET, que, a su vez, se implanta en el servicio de Información de Información de Internet (IIS) del servidor Microsoft Exchange. Un análisis posterior ha determinado la presencia de un día cero que permitió a los atacantes obtener la máquina de ametralladoras y obtener acceso no autorizado al servidor de Exchange. «El atacante utilizó la clave para deserializar el servidor de Exchange, implantando así un troyano en cualquier servidor que cumpla con la versión de intercambio y leyendo de forma remota los datos del buzón de cualquier persona», dijo el informe. Qianxin afirmó que la actividad era probablemente el trabajo de un actor de amenaza de América del Norte dado que los ataques tuvieron lugar entre las 9 pm y las 6 de la mañana. Hacker News se ha comunicado con Microsoft para obtener más comentarios, y actualizaremos la historia si recibimos una respuesta. ¿Encontró este artículo interesante? Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Jul 04, 2025Ravie Lakshmanananmobile Seguridad / privacidad Google ha sido ordenado por un tribunal en el estado de los Estados Unidos de California que pague $ 314 millones por los cargos que utilizó mal los datos celulares de los usuarios de dispositivos de Android cuando estaban inactivos para enviar pasivamente información a la compañía. El veredicto marca el final de una queja legal de acción de clase que se presentó originalmente en agosto de 2019. En su demanda, los demandantes argumentaron que el sistema operativo Android de Google aprovecha los datos celulares de los usuarios para transmitir una «variedad de información a Google» sin su permiso, incluso cuando sus dispositivos se mantienen en un estado inactivo. «Aunque Google podría hacer que estas transferencias ocurran solo cuando los teléfonos están conectados a Wi-Fi, Google diseñó estas transferencias para que también puedan tener lugar a través de una red celular», dijeron. «El uso no autorizado de Google de sus datos celulares viola la ley de California y requiere que Google compense a los demandantes por el valor de los datos celulares que Google usa para su propio beneficio sin su permiso». Las transferencias, argumentaron los demandantes, ocurren cuando las propiedades de Google están abiertas y operan en segundo plano, incluso en situaciones en las que un usuario ha cerrado todas las aplicaciones de Google, y su dispositivo está inactivo, lo que apropia mal los subsidios de datos celulares de los usuarios. En un caso, los demandantes encontraron que un dispositivo Samsung Galaxy S7 con la configuración predeterminada y las aplicaciones precargadas estándar, y conectadas a una nueva cuenta de Google, envió y recibió 8.88 MB/día de datos celulares, de las cuales el 94% de las comunicaciones estaban entre Google y el dispositivo. El intercambio de información ocurrió aproximadamente 389 veces en un lapso de 24 horas. La información transferida consistió principalmente en archivos de registro que contenían métricas del sistema operativo, estado de red y la lista de aplicaciones abiertas. «Los archivos de registro generalmente no son sensibles al tiempo, y la transmisión de ellos podría retrasarse fácilmente hasta que Wi-Fi esté disponible», según documentos judiciales. «Google también podría programar Android para permitir a los usuarios habilitar transferencias pasivas solo cuando están en conexiones Wi-Fi, pero aparentemente ha elegido no hacerlo. En cambio, Google ha elegido simplemente aprovechar las asignaciones de datos celulares de los demandantes». Eso no es todo. La denuncia de la corte también citó otro experimento de 2018 que encontró que un dispositivo Android que estaba «externamente latente y estacario» pero tenía la aplicación de navegador web Chrome y en segundo plano dio como resultado aproximadamente 900 transferencias pasivas en 24 horas. En comparación, un iPhone estacionario e intacto con el navegador Safari abierto en segundo plano envió «significativamente menos información», y señaló que el sistema operativo de Apple brinda a los usuarios un mayor control cuando se trata de transferencias de información pasiva. Tras un juicio que comenzó el 2 de junio de 2025, el jurado se puso del lado de los demandantes, afirmando que el gigante tecnológico era responsable de realizar estas transferencias de datos pasivos y hacer que ellos dijeron lo que dijeron eran «cargas obligatorias e inevitables. […] Para el beneficio y la conveniencia de Google. «En un comunicado a Reuters, Google dijo que apelaría la decisión y sostuvo que las transferencias de datos están relacionadas con» servicios que son críticos para la seguridad, el rendimiento y la confiabilidad de los dispositivos Android «. La compañía también apuntó a que revele las transferencias en sus términos de acuerdo y obtenga consentimiento para ellos. Texas que lo acusó de rastrear la ubicación personal de los usuarios y mantener sus datos de reconocimiento facial sin consentimiento. efectividad, e impone un modelo de negocio potencialmente inviable «, dijo la compañía.» Esto pasa por alto la realidad comercial de que, en una economía de mercado, meta merece una compensación justa por los servicios valiosos e innovadores que los usuarios eligen usar, un principio esencial para mantener la innovación y el crecimiento económico. ¿Encontró este artículo interesante? Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Según un nuevo informe de Human, se ha interrumpido una operación de fraude publicitaria móvil denominada Iconads que consistió en 352 aplicaciones de Android, según un nuevo informe de Human. Las aplicaciones identificadas fueron diseñadas para cargar anuncios fuera de contexto en la pantalla de un usuario y ocultar sus íconos del lanzador de pantalla de inicio del dispositivo, lo que dificulta que las víctimas los eliminen, según el equipo de investigación e inteligencia de amenazas e investigación de Satori de la compañía. Las aplicaciones tienen